病毒大玩恶作剧　耍无赖将电脑强制关机

“涂改者234496”（Win32.Troj.Hider.i.234496），这是一个恶作剧程序，复制自身到系统目录，设置自身为系统隐藏文件，并通过添加到系统服务方式随系统启动。该程序会修改系统文件夹选项中的“显示隐藏文件”部分来保护自身，并且修改exe文件的关联方式。

“ARP下载者102400”（Win32.Troj.Downloader.yl.102400），这是一个具有ARP 欺骗的下载者病毒，在下载病毒到本地运行的同时还生成大量AUTO病毒文件。该病毒还具有具有映象劫持功能，可以对一些安全工具和调试分析软件进行拦截，并不断改写注册表破坏安全安全模式，阻止用户修复系统。

一、“涂改者234496”（Win32.Troj.Hider.i.234496） 威胁级别：★

这是个恶作剧病毒，进入系统后，它会在%/WINDOWS%/system32/目录下释放出isass.exe病毒文件，并修改注册表系统服务项，将自己的相关信息加入其中，达到随系统自动启动之目的。同时，它会把自己在系统文件夹中的显示模式修改为“隐藏”，跟用户玩起捉迷藏。接着，它修改系统中exe文件的属性信息，用户如果查看属性，可以发现exe文件全被解释为“File Folder（文件夹）”，除此之外，不会对用户系统造成别的影响。此病毒虽然无明显危害，但由于它会把隐藏文件设为不可见，因此还是对用户正常使用电脑造成一定影响。

二、“ARP下载者102400 ”（Win32.Troj.Downloader.yl.102400） 威胁级别：★★

病毒进入系统后，会释放出5个病毒文件，分别为%WINDOWS%/system32/Com/目录下的SMSS.EXE、netcfg.dll、netcfg.000，以及%/WINDOWS%/system32/drivers/目录下的alg.exe目录下，还有释放出%/WINDOWS%/system32/下的dnsq.dll。同时还在在所有的磁盘根目录下生成自己的副本 pagefile.pif 及 AUTORUN.INF 文件，如果用户双击进入受感染磁盘，病毒就会被再次激活。此后，只要用户在此台电脑上使用U盘等移动存储器器，病毒就会立刻传染上去。病毒还将自己拷贝到%WINDOWS%/system32/Com/目录下，更名为 LSASS.EXE，并释放并运行病毒文件SMSS.EXE 和 ALG.EXE ，由于病毒的进程名和系统的 LSASS、SMSS 进程名相同，任务管理器将无法结束它。该病毒会修改注册表，禁用显示隐藏文件选项，使隐藏文件无法被显示，并破坏系统安全模式的相关数据，使用户无法启动安全模式。它还会不断修改注册表，这会使得部分安全工具无法成功修复安全模式。该病毒具有映象劫持功能，可以破坏许多常用安全工具和调试分析软件的正常运行，如果它发现自己无法解决安全软件，就会像耍无赖一样将电脑强制关机。最后该病毒悄悄建立远程连接，从http://w.c**o.com/*.htm 和http://j*.k***2.com/g*.asp这两个黑客指定的地址下载恶意脚本执行。此外，之前生成的alg.exe 是个ARP 病毒，它会利用 WinPcap 来收发网络包，对整个局域网内的所有 IP 进行攻击，给网络中的所有用户造成影响。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控、内存监控等），遇到问题要上报， 这样才能真正保障计算机的安全。

2.玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。